2018年4月南方电网发布了电力监控系统网络安全态势感知技术规范文档,用于指导电力监控系统网络安全态势感知的规划、设计、建设、验收及应用等工作。技术规范中详细的介绍了搭建电力监控系统网络安全态势感知系统时,在信息采集、安全告警分类、上下级通信、通信协议等方面的规范要求和行业标准,为电力行业态势感知的应用指明了方向。
电力监控系统网络安全态势感知包含主站系统和厂站装置两部分,主站系统和厂站装置定义如下:
电力监控系统网络安全态势感知主站系统(下简称“主站系统”)是指部署在各个调控中心(监控、检修中心),具备网络安全数据采集、安全监视、安全审计、预测分析等功能的系统。
电力监控系统网络安全态势感知厂站装置(下简称“厂站装置”)是指部署在厂站电力监控系统局域网网络内部,对厂站电力监控系统网络安全数据进行采集、分析处理并与主站系统通信的装置。
在网、省级主站部署电力监控系统网络安全态势感知主站系统。网级主站系统实现对网级电力监控系统主站系统、各省市电力监控系统以及厂站电力监控系统网络安全态势感知数据的汇总、分析以及展示;省级主站系统实现对省级电力监控系统主站系统、各地市电力监控系统以及厂站的态势感知数据的汇总、分析以及展示;在地市级及以下主站端部署态势感知采集服务器,实现对本地市局本部电力监控系统及厂站态势感知数据采集,上送至省级主站系统进行统一汇总、分析及展示。在厂站端部署厂站装置实现电力监控系统态势感知数据的采集。
一、态势感知数据采集
主站系统采集范围包括主站内部的主机设备(服务器、工作站等)、网络设备(交换机、路由器等)、安全设备(纵向加密认证装置、正反向隔离装置、硬件防火墙、IDS设备等)以及数据库。
厂站装置采集范围包括变电站调度数据网边界、站控层及发电厂涉网部分的主机设备(服务器、工作站、远动机、保信、测控装置、设备在线监测、计量自动化等)、网络设备(交换机、路由器等)和安全设备(纵向加密认证装置、硬件防火墙设备等)。
主站系统及厂站装置采集内容包括运行状态信息、配置信息、流量传输信息及安全告警信息。在附录中对主机设备、网络设备、纵向加密装置、正反向隔离装置、硬件防火墙、入侵检测系统、数据库等采集信息内容进行了详细的定义。
二、态势感知系统通信
电力监控系统态势感知纵向通信包括主站间通信及主厂站通信。针对实时监视数据,下级主站或厂站装置采用主动周期(5分钟)推送方式完成数据的交互;周期上报信息包括安全指数、资产运行信息、接入设备数、离线设备数、安全告警数量、未确认告警数量及告警信息实时统计数据等。针对统计及审计数据,上级平台通过指令主动调取方式实现数据的交互;上级平台主动调取下级平台信息包括告警信息统计、设备数量统计、设备运行信息统计、纵向密通情况统计等内容。
电力监控系统态势感知横向通信包括跨区同步、与OMS互联。跨区同步方面,各级主站系统在安全II、III区分别独立部署,实现由II区子系统向III区子系统单向数据同步,安全III区子系统可全面感知主站系统安全态势。当态势感知系统发现异常情况时,首先定位出现违规行为或者出现网络安全风险的设备,在对违规行为或者网络安全风险分析的基础上,并根据系统设备的网络安全风险或者违规行为自动生成工单,发送给OMS系统,触发网络安全风险处置流程。
三、态势感知系统应用功能
1、实时监视
实时监视功能重点关注电力监控系统的网络安全风险,包括自身可被利用造成损害的漏洞,也包括来自外部的威胁。实时监视包括以下方面:
-
安全概况:包括合规概况、设备概况、告警概况、威胁监视、安全指数等内容。
-
告警监视:包括告警列表、告警详情(安全事件类、运行异常类、设备故障类)。
-
上下级调阅监视:包括主站系统监视、厂站监视。
-
设备状态监视:包括主机设备监视、网络设备监视、安全设备监视。
-
拓扑监视:包括资产自发现、拓扑生成、拓扑展示、资产信息展示等。
-
威胁监视:包括外设接入行为监视、登录行为监视、网络接入监视、网络流量监视。
-
合规监视:包括合规率、合规检查项检测不合格数量、合规态势等。
2、综合审计
综合审计包含行为审计、关联分析、沙箱、统计分析四部分内容,没部分具体内容如下:
-
行为审计:包括外设接入行为、主机登录行为、网络接入行为、网络通信行为。
-
关联分析:关联分析是对设备相关操作行为的关联分析及操作路径的回溯,主要包括审计资产、溯源分析、通信链路、设备告警、登录行为。
-
沙箱:沙箱审计功能应能够对网络中捕获的文件进行各种统计分析以及展现,包括文件统计、执行分析两部分。
-
统计分析:包括端口使用统计分析、登录行为统计分析、用户账户统计分析。
3、预测分析
网络安全分析预测主要包括全局风险评估、威胁场景算法、大数据分析平台等功能。
-
全局风险评估:结合系统台账以及威胁情报,对网络中的技术漏洞及安全风险进行扫描,实现全局风险评估。
-
威胁场景算法:根据人工分析经验,总结归纳出网络安全风险模型,实现威胁场景的自动匹配。支持在原有的算法模板上调整进化生成新的网络安全风险分析算法。
-
大数据分析:采用电力监控系统网络安全大数据分析技术,基于流量、日志、设备配置、设备运行信息等各类数据,为网络安全高级分析提供技术支持。